A ferramenta Dcgpofix não restaura as configurações de segurança na Política Padrão do Controlador de Domínio para seu estado original
Este artigo explica que a ferramenta Dcgpofix.exe recria os GPOs (objetos de Política de Grupo) padrão para um domínio e que é melhor usar essa ferramenta apenas em cenários de recuperação de desastre.
Aplica-se a: Todas as versões com suporte do Windows Server
Número de KB original: 833783
A operação Dcpromo modifica a segurança de um domínio de forma incremental, com base nas configurações de segurança existentes nesse servidor. Portanto, depois de executar o Dcpromo, o conjunto final de configurações de segurança na Política padrão do Controlador de Domínio depende tanto da operação Dcpromo quanto do estado de segurança do sistema que existia antes de executar o Dcpromo. Antes de executar o Dcpromo, o estado de segurança do sistema pode ser modificado por vários mecanismos. Por exemplo, quando você instala alguns aplicativos de servidor, podem ser feitas alterações nos direitos de usuário concedidos a contas de usuário locais, como a conta SUPPORT_388945a0.
Motivo
A ferramenta Dcgpofix não pode saber em que estado as configurações de segurança estavam antes de executar o Dcpromo. Portanto, a ferramenta Dcgpofix não pode retornar as configurações de segurança para o estado original precisamente. Em vez disso, a ferramenta Dcgpofix recria os dois GPOs padrão e cria as configurações com base nas operações executadas somente durante o Dcpromo.
Se você tiver uma nova instalação do Windows Server e nenhuma alteração de segurança for feita no sistema operacional antes de executar o Dcpromo, a política de controlador de domínio padrão recriada criada pelo Dcgpofix será quase a mesma que a Política padrão do Controlador de Domínio logo após a execução do Dcpromo. No entanto, haverá algumas diferenças nas configurações na Política padrão do Controlador de Domínio nesse caso.
Resolução
Para backup geral e restauração da Política de Domínio Padrão e Política padrão do Controlador de Domínio e também para outros GPOs, recomendamos que você use o GPMC (Console de Gerenciamento Política de Grupo) para criar backups regulares desses GPOs. Em seguida, você pode usar o GPMC em conjunto com esses backups para restaurar as configurações de segurança exatas contidas nesses GPOs.
Se você estiver em um cenário de recuperação de desastre e não tiver nenhuma versão de backup da Política de Domínio Padrão ou da Política de Controlador de Domínio Padrão, poderá considerar o uso da ferramenta Dcgpofix. Se você usar a ferramenta Dcgpofix, recomendamos que, assim que a executar, examine as configurações de segurança nesses GPOs e ajuste manualmente as configurações de segurança para atender aos seus requisitos. Uma correção não está agendada para ser lançada porque recomendamos que você use o GPMC para fazer backup e restaurar todos os GPOs em seu ambiente. A ferramenta Dcgpofix é uma ferramenta de recuperação de desastre que restaurará seu ambiente apenas para um estado funcional. É melhor não usá-lo como um substituto para uma estratégia de backup usando o GPMC. É melhor usar a ferramenta Dcgpofix somente quando não existe um backup de GPO para a Política de Domínio Padrão e a Política padrão do Controlador de Domínio.
Mais informações
A tabela a seguir lista as diferenças nas configurações de segurança na Política Padrão do Controlador de Domínio depois de executar a ferramenta Dcgpofix e as configurações em uma nova instalação do Windows Server depois de executar o Dcpromo. Recomendamos ajustar essas configurações de segurança para corresponder aos requisitos em seu ambiente depois de executar a ferramenta Dcgpofix.
| Configuração na política padrão do controlador de domínio | Valor depois de executar o DCPromo no Windows Server instalado de forma limpa | Valor após executar DCGPOFIX |
|---|---|---|
| Configurações de auditoria | ||
| Auditar o Gerenciamento de Contas | Êxito | Sem Auditoria |
| Acesso ao serviço do Audit Directory | Êxito | Sem Auditoria |
| Alteração da política de auditoria | Êxito | Sem Auditoria |
| Auditar eventos do sistema | Êxito | Sem Auditoria |
| Direitos do usuário | ||
| Create Objetos Globais | Não definido | SERVICE, Administradores |
| Negar acesso ao computador por meio da rede | SUPPORT_388945a0 | (Vazio) |
| Negar logon localmente | SUPPORT_388945a0 | (Vazio) |
| Representar um cliente após autenticação | Não definido | SERVICE, Administradores |
| Carregar e descarregar drivers de dispositivo | Administradores, Operadores de Impressão | Administradores |
| Fazer logon como trabalho em lotes | SERVIÇO LOCAL, SUPPORT_388945a0 | (Vazio) |
| Fazer logon como um serviço | NETWORK SERVICE | (Vazio) |
| Desligar o sistema | Administradores, operadores de backup, operadores de servidor, operadores de impressão | Operadores de conta, administradores, operadores de backup, operadores de servidor, operadores de impressão |
As seguintes configurações serão alteradas depois que você executar a ferramenta Dcgpofix:
- AuditAccountManage
- AuditDSAccess
- AuditPolicyChange
- AuditSystemEvents
- SeCreateGlobalPrivilege
- SeImpersonatePrivilege
- SeLoadDriverPrivilege
- SeShutdownPrivilege
Com base nas opções de configuração, as seguintes configurações também podem alterar o seguinte:
- SeBatchLogonRight (apenas SERVIÇO LOCAL, não a conta SUPPORT_388945a0)
- SeServiceLogonRight
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários